Службы сертификатов Active Directory служба не запускается на сервер центра сертификации на базе Windows Server 2008, если поставщика хранилища ключей не поддерживают подписывание хэш SHA1

Применимо к: Windows Server 2008 StandardWindows Server 2008 EnterpriseWindows Server 2008 Datacenter

Симптомы


Рассмотрим следующий сценарий:
  • Вы используете компьютер под управлением Windows Server 2008 с стороннего поставщика хранилища ключей (KSP) установлен.
  • KSP независимых производителей не позволяет для подписания хэш SHA1. KSP можно настроить, чтобы запретить подписание хэш SHA1 или могут не поддерживать его.
  • Установка роли служб сертификатов Active Directory на компьютере. При этом Настройка служб сертификации для использования закрытого ключа центра сертификации (ЦС) сертификации KSP.
В этом случае службы сертификатов Active Directory служба не запускается. Кроме того, в системном журнале регистрируется следующее событие:заметки
  • В этом случае Имя_цс
    прототип представляет имя центра сертификации, установленного. ErrorDescription местозаполнитель представляет ошибку, которая возвращается при этом KSP предлагается подписать хэш-значение SHA1 сторонних поставщиков хранилищ КЛЮЧЕЙ. Фактические ошибки зависит от реализации сторонних поставщиков хранилищ КЛЮЧЕЙ.
  • Эта проблема не возникает, если используется Microsoft KSP, поскольку поставщики хранилища ключей Майкрософт допускает хэш SHA1 подписи в конфигурации по умолчанию.

Причина


При запуске службы служб сертификатов Active Directory, она проверяет закрытого ключа, подписывая случайных хэш SHA1. Если не позволяют KSP, в котором используется для закрытого ключа для подписи хэш SHA1, службы сертификации Active Directory служба не запускается.

Решение


Сведения об исправлении

Существует исправление от корпорации Майкрософт. Однако данное исправление предназначено для устранения только проблемы, описанной в этой статье. Применяйте данное исправление только в тех системах, которые имеют данную проблему. Это исправление может проходить дополнительное тестирование. Таким образом если вы не подвержены серьезно этой проблеме, рекомендуется дождаться следующего пакета обновления, содержащего это исправление.

Если исправление доступно для скачивания, имеется раздел "Пакет исправлений доступен для скачивания" в верхней части этой статьи базы знаний. Если этот раздел не отображается, обратитесь в службу поддержки для получения исправления.

Примечание. Если наблюдаются другие проблемы или необходимо устранить неполадки, вам может понадобиться создать отдельный запрос на обслуживание. Стандартная оплата за поддержку будет взиматься только за дополнительные вопросы и проблемы, которые не соответствуют требованиям конкретного исправления. Чтобы получить полный список телефонов поддержки и обслуживания клиентов корпорации Майкрософт или создать отдельный запрос на обслуживание, посетите следующий веб-сайт корпорации Майкрософт:Примечание. В форме "Пакет исправлений доступен для скачивания" отображаются языки, для которых доступно исправление. Если нужный язык не отображается, значит исправление для данного языка отсутствует.

В те же пакеты включены важные исправления для Windows Vista и Windows Server 2008. Однако только один из этих продуктов могут быть указаны на странице «Запрос исправления». Чтобы запросить пакет исправлений, который применяется в Windows Vista и Windows Server 2008, просто выберите продукт, который указан на странице.

Предварительные условия

Для установки предварительные компоненты не требуются.

Необходимость перезагрузки

После установки исправления компьютер необходимо перезагрузить.

Примечание. После установки исправления нет для переустановки роли служб сертификатов Active Directory.

Сведения о замене исправлений

Это исправление не заменяет других исправлений.

Сведения о файлах

Английская версия данного исправления содержит атрибуты файла (или более поздние атрибуты файлов), приведенные в следующей таблице. Дата и время для этих файлов указаны в формате общего скоординированного времени (UTC). При просмотре сведений о файле, он преобразуется в локальное время. Чтобы узнать разницу между временем по Гринвичу и местным временем, откройте вкладку Часовой пояс элемента Дата и время в панели управления.
Windows Server 2008 для систем на базе x86
Имя файлаВерсия файлаРазмер файлаДатаВремяПлатформа
Package_1_for_kb952722~31bf3856ad364e35~x86~~6.0.1.0.mumНеприменимо1,99219-May-200822:15Неприменимо
Package_for_kb952722_server_0~31bf3856ad364e35~x86~~6.0.1.0.mumНеприменимо1,62219-May-200822:15Неприменимо
Package_for_kb952722_server~31bf3856ad364e35~x86~~6.0.1.0.mumНеприменимо1,43019-May-200822:15Неприменимо
X86_1cd79ffea2bc8f290081325b9cc190b6_31bf3856ad364e35_6.0.6001.22181_none_b50be989593b1534.manifestНеприменимо71019-May-200822:15Неприменимо
X86_microsoft-windows-certificateservices-ca_31bf3856ad364e35_6.0.6001.22181_none_db3b802863c3238b.manifestНеприменимо34,87417-May-200804:41Неприменимо
Certsrv.exe6.0.6001.22181522,24017-May-200802:52x86
Certsvcctrs.hНеприменимо1,72118-Dec-200721:29Неприменимо
Certsvcctrs.iniНеприменимо4,02018-Dec-200721:29Неприменимо
Microsoft-windows-certificateservices-ca-ppdlic.xrm-msНеприменимо4,26917-May-200802:59Неприменимо
Windows Server 2008 для систем на базе x64
Имя файлаВерсия файлаРазмер файлаДатаВремяПлатформа
Amd64_ae417594053b0b57a2d3ba5ebd122e63_31bf3856ad364e35_6.0.6001.22181_none_19c56f235a27140e.manifestНеприменимо71419-May-200822:15Неприменимо
Amd64_microsoft-windows-certificateservices-ca_31bf3856ad364e35_6.0.6001.22181_none_375a1bac1c2094c1.manifestНеприменимо34,93017-May-200811:20Неприменимо
Package_1_for_kb952722~31bf3856ad364e35~amd64~~6.0.1.0.mumНеприменимо2,00419-May-200822:15Неприменимо
Package_for_kb952722_server_0~31bf3856ad364e35~amd64~~6.0.1.0.mumНеприменимо1,63219-May-200822:15Неприменимо
Package_for_kb952722_server~31bf3856ad364e35~amd64~~6.0.1.0.mumНеприменимо1,43819-May-200822:15Неприменимо
Certsrv.exe6.0.6001.22181713 21617-May-200803:20x64
Certsvcctrs.hНеприменимо1,72118-Dec-200721:29Неприменимо
Certsvcctrs.iniНеприменимо4,02018-Dec-200721:29Неприменимо
Microsoft-windows-certificateservices-ca-ppdlic.xrm-msНеприменимо4,26917-May-200811:14Неприменимо

Статус


Корпорация Майкрософт подтверждает, что это проблема продуктов Майкрософт, перечисленных в разделе "Относится к".

Дополнительные сведения


Для получения дополнительных сведений о терминологии обновлений программного обеспечения щелкните следующий номер статьи базы знаний Майкрософт:
Описание 824684 Стандартные термины, используемые при описании обновлений программных продуктов Майкрософт